たまにはサイト名の趣旨に沿ったものを紹介したいと思います。
OWASP(Open Web Application Security Project)が提供している、 ZAP(Zed Attack Proxy)というWEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。 オープンソースで、誰でも無料で使用できます。
公式サイト OWASP
ダウンロード OWASP Zed Attack Proxy Project
アプリ自体はWindows・Linux・Macに提供されています。
これのすばらしい所は簡単なところ(複雑なことも出来ますが)と、日本語ローカライズされているので操作が簡単。
XSSやSQLはもちろんCSRFやパラメータ改変やトラバーサルなど多岐にわたります。
詳細はCategory:Attackを見てみてください。
使い方は簡単で「攻撃対象URL」に対象となるURLを入れて「攻撃」ボタンをクリックするだけ。
自分の管理化にあるサイトにのみ行ってください。
それ以外のサーバーにすると大変なことになりますので自己責任でお願いします
こんな感じ
結果はこんな感じで返ってきます
左下のアラートという項目にじゃんじゃん表示されていきます。 アラートで上がっていてもフレームワークで実際には防がれているものや、ブログの場合はサンプルで載せているコードに反応している場合もありますが、これを1つずつ潰していくだけでもとても勉強になります。
これだけでもだいぶセキュリティーに関しても対応が出来ます。
他にも詳しい使い方を説明しているサイトなどもあるのでもっと知りたい方はGoogle先生に聞くとすぐに出てくると思います。
関連記事
